DEFCON 22.会議「開かれたポートを介したインターネットの大量スキャン」。 ロバート・グラハム、ポール・マクミラン、ダン・タントラー

私の名前はロブ・グラハムです。私はインターネット・コンサルティング会社であるErrata Securityの責任者です。 今日は、インターネット全体をスキャンする方法とその目的について説明します。 今日まで、この問題を解決するツールはほとんどなかったため、独自のツールを作成しました。 インターネットは十分に小さく、約40億のアドレスしかない。



インターネットのスキャンは非常に簡単です。コンピューターの前に座って、コマンドラインでコンソールを起動し、サブネットアドレスを入力します。 そして、画面がどのようにデータで満たされているかを見ると、すべての行が実行され、さらに実行されます。 その結果、異なるIPアドレスを持つ開いているデバイスポートのリストを取得します。







保護のコンテキストでインターネットをスキャンする理由 セキュリティの問題が心配な場合は、これを実行して次の質問の答えを得る必要があります。

• Heartbleed脆弱性（攻撃者がクライアントまたはサーバーのメモリを読み取り、サーバーの秘密暗号化キーを取得できるようにする暗号化ソフトウェアのエラー）の影響を受けるコンピューターシステムはいくつですか？
• NTPサーバーへの攻撃を強化するために何台のコンピューターシステムを使用できますか？
• D-Linkルーターの脆弱性により、危険にさらされているシステムはいくつありますか？
• 使用されるすべてのSSL証明書の概要。

特定のネットワークや機器の脆弱性を見つけるための既存のツールはかなり遅いですが、大量スキャンを行うと、100,000を超えるデバイスの脆弱性特性を十分に迅速に取得できます。 解決する必要がある重要な問題は、DDOS攻撃中にNTPサーバーと通信するために使用される機器の識別です。 Dリンクルーターには強力な保護機能がないため、多くの家庭用機器は脆弱です。 D-linkネットワークを見て、脆弱性を悪用するボットネットシステムの数を確認してください。 SSL証明書のスキャンは、エラーや脆弱性が生じやすい古い証明書を識別するためにも役立ちます。 したがって、「手を差し伸べる」ことができるすべてをスキャンすることは重要なタスクです。



インターネットスキャンは、予防のコンテキストでも必要です。 Deepnet-検索エンジンには表示されない多くのインターネットページを識別するのに役立ちます。 これらのページは、ユーザーの要求に応じて生成され、悪意のある情報を伝える可能性があります。







「-banners」バルクスキャンコマンドを実行して、ランダムポートをスキャンしてみてください。数分以内に、問題なくクラックできることがわかります。



実際、インターネットのスキャンは次の理由で便利です。

• 楽しいです。
• これは有益です（インターネットがどれほど小さいかは、スキャンコマンド0.0.0.0/0を実行することで確認できます。インターネットには65,000のポートしかありません）。
• これはあなたを有名にします：
  
  -シーメンス制御システムなどのターゲットを選択します。
  
  -インターネットをスキャンしてください。
  
  -彼女のためにBlackHat Talkコンピューターセキュリティ会議を作成します。
  
  -取得した専門家の特権を使用します。

インターネットをスキャンするために知っておくべきことは何ですか？ まず、物理インフラストラクチャの理論的な部分を知る必要があります。

• データパケットのサイズは固定されています。
  
  -イーサネットパケットには44バイトが含まれます。
  
  -TCP SYNパケットには40バイトが含まれます。
• 1 Gbit / sイーサネットの最大速度：
  
  -実際のトラフィックでは476 Mbps。
  
  -イーサネット接続の場合は524 Mbps。
  
  -1秒あたり1,488,000パケット。

これは、実際のデータ量ではなく、保証された帯域幅、つまり保証された帯域幅に対して料金を請求するという事実により、プロバイダーに過払いをすることを意味します。 これは、過剰なパケットサイズによるものです。 22バイトまたは33バイトを送信しても、サイズは40バイトまたは44バイトのパケットにパックされたままです。 実際には1秒間に524メガビット以下で転送されるため、ユーザーは1ギガビットで指定された完全な伝送容量に到達することはほとんどありません。 ただし、固定パケットオーバーフローのため、データにはマージンサイズがあり、このマージンはまったく使用されません。 しかし、私たちはそれを支払います。 完全に調整されたスイッチを使用している場合でも、ネットワークの全帯域幅を使用することはできません。これが発生する理由はわかりません。 インターネットサービスの請求書を支払うシステムには混乱があります。



インターネットプロバイダーからのトラフィックを支払うための請求書はどのように形成されますか？

• 1Gb /秒の最大インターネット接続速度を提供するものもあります。
• いくつかは、動作中のネットワークの実際の帯域幅を測定し、約600 Mbit / sの速度を提供します。
• 一部のインターネットサービスプロバイダーは小さなパケットを認識しないため、着信トラフィックのみをキャプチャし、発信トラフィックはキャプチャしません。 たとえば、大量の情報を送信し、ネットワークからダウンロードした数メガバイトを支払いました。
• 一部のプロバイダーはトラフィックの量をまったく測定しません。これは私たちにとって特に興味深いものです。

たとえば、ドイツでは、ユーザーに100 Gb / sの速度を提供するCCCクラブがあります。 このネットワークをテストすることはできませんでしたが、今年は10ギガビットイーサネットカードを携帯して、本当にそうなのかを確認するかもしれません。 しかし問題は、送信するパケットが小さすぎると、同じネットワークのピア間の既存の合意に違反することです。



ネットワークの物理インフラストラクチャをさらに検討します。



プライベート仮想VPNは、小さなパケットの負荷に適応できます。 イーサネットは小さなパケットと戦い、500 Kbpsを超える速度はしばしば困難です。 スイッチがそのような速度で動作できる場合、これはインフラストラクチャの他の要素がそれをサポートできることを意味しません。 この場合、フロー制御のデータフローを無効にすると役立ちます。この場合、受信機がデータを受信する準備ができていない場合、送信機はデータ転送を遅くします。



場合によっては、パケットが失われる可能性があります-500 Kbpsでの送信は、すべてのパケットがインターネットに到達することを保証しません。 スキャンにより、使用中のパケット損失が観察されるポートを特定できます。 同じ受信/送信を提供するポートのみを使用できます。1万パケットを送信すると、1万パケットも受信します。 したがって、私は主に最大150 Kbit / s、時には15 Kbit / sの速度を使用します。これにより、パケットの整合性について考える必要がなくなります。



虐待の苦情は大きな問題です。 この用語は、誰かがあなたをスパムまたはその他の悪意のある活動のソースとしてフラグを立てたことを意味します。 多くの場合、これは、受信者があなたからの手紙を受け取りたくないが、会社がこのリンクを提供していないため、メーリングリストから退会できない場合に企業で発生します。 それはあなたのメールをスパムとしてマークし、全体的な評判を傷つけます。 これは、ネットワークをスキャンするときに発生する可能性があります。 あなたは虐待の苦情を受け取ることができ、あなたのISPはこれに真剣に動揺しています。 または、ごちそうの間の合意に違反した場合、ごちそうの役割を果たすことは禁止されます。 しかし、もっと悪いことがあります：

• Heartbleed脅威スキャンは、数週間後に虐待苦情を生成しますが、それでもあなたは評判に打撃を与えます。
• HTTPスキャンにより、fail2ban禁止リストに送信されます。つまり、IPがブロックされます。
• 脅威検出ルールの違反Snort脅威ルールは、多くの虐待苦情の苦情を作成することもできます。

既存のネットワーク監視方法は、着信トラフィックを追跡します。 スキャンを使用すると、着信トラフィックが大きくなり、疑われることになります。 この方法でハッカーを追跡できると考えられていますが、街灯の下の茂みで失われた鍵を探すのと同じです。



インターネットサービスプロバイダーは何を真剣に考えるべきですか？ さらに、一部のネットワークでは、自律ASネットワーク全体に対してブラックホール（「ホストへのルートがない」ためにこのようなルーティングのパケットが削除される場合の「どこにもルーティングしない」）を使用します。



他の人のメールボックスやプライベートなネットワークセグメントをスキャンしたくないため、スキャンの際には例外のリストが必要です。 除外リストを作成するには、コマンドラインでスキャンパラメーターを設定します。

/etc/masscan/masscan.conf exclude = 224.0.0.0-255.255.255.255 exclude-file – exclude.ips
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

重要なことは、パブリック除外リストを作成することです。 セキュリティ専門家の公開リストを作成したいのですが、プログラムへの参加リクエストを送信した人のほとんどは、通常、このリストから削除するよう求められます。 誰かが自分のIPアドレスまたは企業ネットワークアドレスを見つけて、それらを解読しようとすることを恐れています。 幸いなことに、BGPネットワークはこれらすべての情報をパブリックドメインに保持しており、かなり洗練された形式でレイアウトされており、誰でもアクセスできます。 インターネットをスキャンしてもメリットがあるだけで、誰にも見せたくない個人情報には影響しないことを理解してください。 残念ながら、ほとんどの人はスキャンとハッキングを混同するため、それを証明する必要があります。 とにかく、インターネット全体をスキャンできると信じるのは難しいです。



たとえば、会社には特定のネットワークがあり、リクエストに応じてスキャンしますが、重要な情報が保存されるサブネットもあります。 そのため、スキャンがどのように行われるかを見ると、彼らは怖くなり、「隠れたネットワークをスキャンしても、さまざまなポートとアドレスが見えるので、ハッキングできます！」と言います。



6か月前に興味深い話がありました。 私はある顧客のネットワークをスキャンしましたが、彼らは夜、ネットワークハッキングのために招集された緊急会議についての電話で彼を起こしました。 彼は私に電話しました、そして私は彼を安心させ、スキャンがハッカー攻撃とは何の関係もないことを説明しなければなりませんでした。 多くの場合、顧客は、スキャンの許可を与えるとすぐにいくつかのセキュリティギャップが開き、ハッカーがすぐに侵入すると考えています。



別のケースは、オーストラリアからの一人の男でした。 彼は、ネットワークをスキャンするときに、単一のSYNパケットの形式で接続要求を送信し、私に電話して、私たちは誰であり、どのような根拠でこれを行っているのかと言いました。 私はすべてを説明し、すべての規制と規則があるサイトのアドレスを彼に話し、顧客からの注文に対してこれを絶対に合法的に行っていると言いました。 彼は何も聞きたくなかったので、インターネット警察で私たちを脅迫し始めました。 私たちが完全にオープンに行動しているため、違法なスキャンに従事していれば、1時間以内に全員が捕まってしまうことを理解していなかったのは、ただの狂った人です。







これらのような申立人は、しばしばただの愚か者です。 ネットワーク、すべてのポート、ルーター、スイッチ、セッションで行われているプロセスの大部分が常に開かれており、暗号化によって保護されていないことを彼らは理解していません。 それ以外の場合は、各アクションに許可が必要な場合、インターネットはまったく機能しません。 クレジットカード情報が盗まれることを恐れている人は、インターネットをまったく使用しない方がいいでしょう。 そして、これは、既存のギャップを埋めるようにデバイスを単純に構成することができないという事実を背景に発生します。 彼らは彼らをすべての人に開かれたままにし、彼らがハッカーの餌食になったことに驚いています。 「ウリ金融グループのインフラは「クラスA国家保安施設機器」に分類されており、この機器への不正アクセスは関連法規制によって禁止されています。」という内容で受け取った手紙をお見せしたいと思います。 この会社は韓国にあり、苦情を私たちに送っただけでなく、手紙で彼らの行動を説明したので、私たちは最初にこの手紙からそれについて知りました。 私は最初に、インターネットにアクセスし、同時にすべての機器を秘密にしたい組織全体に会いました。 閉じたポートで実行できない場合、なぜインターネットに行くのですか？



私たちの仕事の重要な側面は、インターネットプロバイダーとの緊密な協力です。 そうでなければ、効果的なスキャンに成功しません。 インターネットセキュリティに関する無料相談を提供し、寄せられた苦情のリストの調整を支援します。 つまり、プロバイダーは、誰が、なぜ私たちに不満を言ったかを理解し、私たちに対する根拠のない告発を拒否します。 それらと一緒に、チェックされたIPアドレスのリストを含むSWIPプロジェクト「Who is Who on the Internet」を作成し、スキャンの禁止を主張する人々を「ブラックリスト」に載せます。







混乱を避ける代わりに、匿名の仮想専用VPSサーバーを作成できます。 次の利点があります。

• VPSプロバイダーは、ビットコインで少額を支払うことができます。
• 調査後にアカウントをネットワークから切断するだけなので、苦情なしでスキャンできます。たとえば、LinodeホスティングのVPSでは、$ 50を支払った直後にアカウントを削除できます。
• そのようなプロバイダーの十分な数が、仮想サーバーを装って働くスパマーや詐欺師を支持しています。

masscanテクノロジーはどのようなものですか？



nmapユーティリティに似ています。nmapユーティリティは、任意の数のオブジェクトでIPネットワークをスキャンし、ポートとそれに対応するサービスのステータスを判断するように設計されています。

• 「このnmapオプションはサポートされていません」と言われているものを除き、すべてのnmapオプションは部分的に分解できます。
• 一部のツールを使用する場合、出力データ形式がnmapに近いと便利です。
• SCTPフロー制御で伝送プロトコルをスキャンしたり、nmapペイロードとしてUDPユーザーデータプロトコルを使用するなど、多くの機能がサポートされています。

しかし、masscanはnmapとは異なります。

• ホストアットアタイムモードではなくポートアットアタイムモード。 つまり、各ポートの結果は検出されるとすぐに報告され、これらの結果はホストを使用して互いに結合されません。 つまり、プログラムはリクエストを送信し、レスポンスを受信し、それに時間を費やす必要がありません。 10億のリクエストと10億のレスポンスをメモリに保存する必要がないため、動作が速くなります。
• 非同期に動作します。送信された配列は要求から作成され、結果の配列は応答から作成されます。
• 1000倍高速にスキャンします。

Nmapは最高のスキャナーです。NSEスクリプトエンジンは非常に柔軟であり、複数のホストを問題なくスキャンできます。 Masscanは大規模なネットワーク向けに設計されており、このプログラムははるかに高速でスケーラブルです。



Masscanには独自のTCP / IPスタックがあります。

• 既存のスタックと並行して動作します。
• デフォルトは同じアドレスです。
• ARPネットワーク層プロトコルとTCP RSTパケットを複製します。

これが、アドレススプーフィング、いわゆるスプーフィング攻撃でハッカー攻撃が実行される方法です。 ホストA-攻撃者、攻撃するホストV、およびホストO（ハッカーが攻撃に使用するIPアドレス）があるとします。



ホストAはSYNパケットをホストVに送信しますが、リターンアドレスはそのIPアドレスではなく、ホストOのアドレスを示します。攻撃を受けたホストVはホストOにSYN / ACKパケットで応答します。 ただし、ホストOはホストAに何も送信しなかったため、RSTパケットで接続を切断する必要があります。 ホストOがそのようなパケットを送信しなかったのは、パケットが過負荷になっているか、オフになっているか、SYN / ACKパケットをブロックするファイアウォールで保護されているためです。



ホストOがRSTパケットを送信せず、攻撃を中断しなかった場合、ハッカーホストAはホストVを装ってホストVと対話できます。したがって、ユーザーのファイアウォールが正しく構成されていないと、承認者、キャプチャ検証などは役に立たなくなります。



したがって、RSTパケットはIP接続を通信から保護します。つまり、SYN障害でパケットに応答します。 彼らの支援により、さまざまなIPアドレスをスプーフィングから保護したり、特定の範囲のポートにセキュリティフィルターをインストールしたりできます。



それでは、masscanが管理するチームについて話しましょう。



セキュリティプロトコルに違反しないように、複数のデバイスがスキャンされます。

• --複数のコンピューターをスキャンする必要がある場合、シャード1/50が使用されます。
• --source-ip 10.0.0.32-10.0.0.63は、スキャン範囲を同じコンピューター上の複数のIPアドレスに拡張します。
• --source- ip 0.0.0.0-255.255.255.255は使用しないでください！ 結果を待たずに、コンピューターがフリーズします。

問題を回避するために、TCP / IP接続を手動で構成する場合があります。

• --source-ip 192.168.10.15;
• --送信元ポート4444;
• --router-mac 00-11-22-33-44-55 with--router-ip 192.168.10.1

バナー検証チームが行うことは次のとおりです。

• TCP接続を確立します。
• プロトコルのヒューリスティック分析を実行します。つまり、ポート443をスキャンして、SSHおよびHTTPを探します。SSHおよびHTTPは、インターネットがこのポートにアドレス指定します。

現在、NSEスクリプトに似たものを使用していますが、まもなくCベースのプログラミングに移行します。



負荷テストを使用することもできます。 これは、ファイアウォールの保護を「突破」する可能性があるため、セキュリティを提供する機能のテストに関連しています。 この場合、コマンド--無限、--バナー、--sourse-ip <range>は、多数のデバイスをすばやくスキャンするのに役立ちます。



通常、誰もこれを使用しませんが、プログラムでは発信バイナリファイルを使用する可能性があります。そのため、次のコマンドを使用します。

 – oB foo.scan  –oX foo.xml
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、変換が実行されます。

 masscan–readscan foo.scan –oX foo.xml
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この方法は、よりコンパクトなスキャンを提供します。 さらに、発信データにエラーがある場合、バイナリ形式で修正する方が簡単です。



もう1つの便利な機能は、なりすましスキャンです。 IPスプーフィングでは、パケット本体のIPアドレスを置き換えて、応答パケットがハッカーのアドレスによって傍受されるようにします。 このテクノロジーは、ハッカーがイーサネットネットワーク上のホスト間のトラフィックを傍受するために使用します。



なりすましのスキャンは次のとおりです。

• たとえば、Androidを実行しているスマートフォンなど、1つのIPアドレスを持つパケットを受信します。
• 受信したパケットの帯域幅が狭い。
• 送信フィルターなしでデータセンターからパケットを送信する場合、command--source-ipを使用すると、別のIPアドレスのスプーフィングをスキャンできます。

スキャン結果は次のようになります。 最初の図では、プログラムのウィンドウが表示され、2番目の図では、その作業の結果が表示されます。



Heartbleed脅威チェックの結果は、4月10日の時点で、600,000のシステムで脆弱性が検出され、7月に300,000のシステムが依然として脆弱であり、そのほとんどがハードウェアデバイス（コンピューター、ルーター、ウェブカメラ自体）であったことを示していますおよびサーバー。 つまり、それらの脆弱性は表示されません。DNS名でチェックすると、IPアドレスによるスキャンのみが役立ちます。 また、メインフレーム（ポート992を介したTN3270 Telnet -over-SSLなどの大規模なフォールトトレラントサーバー）もスキャンしました。@ mainframed767を見て、IBMメインサーバーユーザーの認証ウィンドウなどの興味深いものを確認できます。



3番目の図は、バナーをスキャンした結果を示しています。 ここで、私たちのプログラムの実際の様子をお見せします。 これを行うには、メインウィンドウを開き、コマンドラインを使用してスキャンするサーバーのアドレスを設定します。 場合によっては、サーバーは応答しません。















これで、Paulは自分のログインでログインして、スキャン機能を実証しようとします。







ポールは、プログラムの使用について質問がある場合は、直接彼に連絡して必要な説明を得ることができると言います。 例として、PaulはVNS 5900サーバーを介してインターネットをクロールします。これには15〜20分かかります。

このプログラムの利点は、ネットワークまたは各ネットワークデバイスでの承認を必要とせずに、脆弱性のリストを取得できることです。 システムを内部からではなく、外部からテストします。 スケーリングを使用すると、クラウドを含むインターネットネットワークの膨大な配列をチェックでき、1時間あたり16セント未満です。



現在、ポート80を介して毎秒10パケットでdefconネットワークの低速スキャンを設定していますが、結果はすぐに画面に表示されます。







現時点では、対応するIPアドレスを持つ保護されていないデバイスポートがネットワークにいくつあるかがわかります。 また、ハッカーはこれらのIPアドレスを使用して、なりすまし攻撃を行うことができます。







この手順は、スキャンされているネットワークの動作を妨げません。ユーザーは任意のアプリケーションを実行できます。 したがって、defconネットワークスキャンには1分以上かかり、ポート80をスキャンするだけで既存の脆弱性をすべて特定しました。パケットサイズを設定することで、スキャンを高速化または低速化できます。 masscanプログラムについて知っておくべきすべてのことをお伝えします。ご質問がある場合は、電子メールまたはtwitter @erratarobおよびpaulmでお問い合わせください 。





ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推奨することで、私たちをサポートします。Habrユーザーが独自に発明したエントリーレベルサーバーのユニークな類似品で30％割引： VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbps 20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



Dell R730xdは2倍安いですか？ オランダとアメリカで249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？